mysql的审计功能

sdoghds88888

　　mysql的审计功能　　mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句，及其执行时间，和connection_id但是却没有记录connection_id对应的详细用户信息。在后期审计进行行为追踪时，根据binlog记录的行为及对应的connection-id 结合 之前连接日志记录 进行分析，得出最后的结论。
　　1. 设置init-connect
　　1.1 创建用于存放连接日志的数据库和表
　　create database accesslog;
　　CREATE TABLE accesslog.accesslog (`id` int(11) primary key auto_increment, `time` timestamp, `localname` varchar(30), `matchname` varchar(30))
　　1.2 创建用户权限
　　可用现成的root用户用于信息的读取
　　grant select on accesslog.*  to root;
　　如果存在具有to *.* 权限的用户需要进行限制。
　　这里还需要注意用户必须对accesslog表具有insert权限
　　grant select on accesslog.*  to  user@’%’;
　　1.3 设置init-connect
　　在[mysqld]下添加以下设置：
　　init-connect=’insertinto accesslog.accesslog(id, time, localname, matchname)
　　values(connection_id(),now(),user(),current_user());’
　　------注意user()和current_user()的区别
　　log-bin=xxx
　　这里必须开启binlog
　　1.4 重启数据库生效
　　shell> /etc/init.d/mysql restart
　　2. 记录追踪
　　2.1 thread_id确认
　　可以用以下语句定位语句执行人
　　Tencent:~ # mysqlbinlog --start-datetime='2011-01-26 16:00:00'
　　--stop-datetime='2011-01-26 17:00:00' /var/lib/mysql/mysql-bin.000010
　　| grep -B 5 'wsj'
　　COMMIT/*!*/;
　　# at 767

　　#110126 16:16:43 server>　　use test/*!*/;
　　SET TIMESTAMP=1296029803/*!*/;
　　create table wsj(id int unsigned not null)
　　--
　　BEGIN
　　/*!*/;
　　# at 940

　　#110126 16:16:57 server>　　SET TIMESTAMP=1296029817/*!*/;
　　insert into wsj(id) values (1)
　　--
　　BEGIN
　　/*!*/;
　　# at 1128

　　#110126 16:16:58 server>　　SET TIMESTAMP=1296029818/*!*/;
　　insert into wsj(id) values (2)
　　2.2 用户确认
　　thread_id 确认以后，找到元凶就只是一条sql语句的问题了。

　　mysql> select * from accesslog where>　　+----+---------------------+---------------------+-----------+

　　|>　　+----+---------------------+---------------------+-----------+
　　| 19 | 2011-01-26 16:15:54 | test@10.163.164.216 | test@%    |
　　+----+---------------------+---------------------+-----------+
　　1 row in set (0.00 sec)
　　3. Q
　　Q：使用init-connect会影响服务器性能吗？
　　A：理论上，只会在用户每次连接时往数据库里插入一条记录，不会对数据库产生很大影响。除非连接频率非常高（当然，这个时候需要注意的就是如何进行连接复用和控制，而非是不是要用这种方法的问题了）---如果采用长连接并且缓存的话,可以提高性能
　　Q：access-log表如何维护?
　　A: 由于是一个log系统，推荐使用archive存储引擎，有利于数据厄压缩存放。如果数据库连接数量很大的话，建议一定时间做一次数据导出，然后清表。
　　Q：表有其他用途么？
　　A：有！access-log表当然不只用于审计，当然也可以用于对于数据库连接的情况进行数据分析，例如每日连接数分布图等等，只有想不到没有做不到。---可以用来测试读写分离,验证负载均衡等
　　Q：会有遗漏的记录吗？
　　A：会的，init-connect 是不会在super用户登录时执行的。所以access-log里不会有数据库超级用户的记录，这也是为什么我们不主张多个超级用户，并且多人使用的原因。--这种审计不会记录root等具有super权限的账号对数据库的访问